取消激活特定设备的 USB 重定向

一些用户可能必须重定向特定的本地连接的 USB 设备，以便他们可以在其远程桌面或应用程序上执行任务。例如，某医生可能必须使用录音机 USB 设备录制患者的医疗信息。在这些情况下，无法停用对所有 USB 设备的访问。您可以使用组策略设置为特定设备激活或停用 USB 重定向。

对特定设备激活 USB 重定向之前，确保您信任与您企业中客户端计算机连接的物理设备。确保您信任您的供应链。如果可能，请跟踪 USB 设备的监管链。

此外，教育员工以确保他们不会从未知源连接设备。如果可能，将环境中的设备限制为仅接受已签发的固件更新、已通过 FIPS 140-2 Level 3 认证且不支持任何种类的字段可更新固件的设备。这些类型的 USB 设备供货困难，且根据您的设备要求可能无法找到。这些选择可能不实用，但它们值得考虑。

每个 USB 设备都具有其自己的供应商及用于在计算机上进行标识的产品 ID。通过配置 Horizon Agent 配置组策略设置，可以为已知的设备类型设置包含策略。通过此方法，可以消除允许将未知设备插入环境中的风险。

表 1. 排除选项
选项	说明
`ExcludeAllDevices`	禁止任何设备进行重定向。
`ExcludeDeviceFamily`	禁止特定设备系列进行重定向。例如，可以阻止所有视频、音频和大容量存储设备： ExcludeDeviceFamily o:video;audio;storage
`ExcludeVidPid`	禁止具有指定供应商和产品 ID 的设备进行重定向。此设置的格式为：`vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...` 您必须指定十六进制的 VID 或 PID。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`
`ExcludeVidPidRel`	禁止具有指定供应商 ID、产品 ID 和版本号的设备进行重定向。此设置的格式为：`vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...` 您必须指定十六进制的 VID 或 PID，并指定二进制编码十进制的 REL。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`

表 2. 选项包括
选项	说明
`IncludeAllDevices`	将重定向所有设备。
`IncludeDeviceFamily`	将重定向所有设备系列。
`IncludeVidPid`	将重定向具有指定供应商和产品 ID 的设备。此设置的格式为“`vid-xxx1_pid-yyy1[;vid-xxx2_pid-yyy2]...`” 您必须指定十六进制的 VID 或 PID。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`
`IncludeVidPidRel`	将重定向具有指定供应商 ID、产品 ID 和版本号的设备。此设置的格式为“`vid-xxx1_pid-yyy1_rel-zzz1[;vid-xxx2_pid-yyy2_rel-zzz2]...`” 您必须指定十六进制的 VID 或 PID，并指定二进制编码十进制的 REL。可以使用通配符（“”）代替 ID 中的单个数字。例如：`vid-0781_pid-***_rel-0100;vid-7081_pid-5591_rel-0100`

默认情况下，Horizon 8 会阻止特定设备系列重定向至远程桌面或应用程序。例如，阻止 HID（人机接口设备）和键盘出现在客户机中。某些已发布的 BadUSB 代码以 USB 键盘设备为目标。

您可以防止 USB 访问来自公司防火墙外部的任何 Horizon 8 连接。可以从内部（而非外部）使用 USB 设备。

请注意，如果您阻止 TCP 端口 32111 以停用对 USB 设备的外部访问，将无法进行时区同步，因为端口 32111 也用于时区同步。对于零客户端，USB 流量将嵌入到 UDP 端口 4172 上的虚拟通道中。由于端口 4172 用于显示协议以及 USB 重定向，因此无法阻止端口 4172。如果需要，可以在零客户端上停用 USB 重定向。有关详细信息，请参见零客户端产品文献或联系零客户端供应商。

设置策略以阻止特定设备系列或特定设备，可帮助缓解被 BadUSB 恶意软件感染的风险。这些策略不会缓解所有风险，但它们是整体安全策略的有效组成部分。

这些策略包含在 Horizon Agent 配置 ADMX 模板文件 (vdm_agent.admx) 中。有关更多信息，请参阅《Horizon 远程桌面功能和 GPO》。

设备筛选示例

屏蔽单个设备：
ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100
注：此示例中的配置提供了保护措施，但是受到威胁的设备可报告任何 vid/pid，因此仍可能会发生潜在攻击。
阻止具有相同供应商和产品 ID 的所有设备，具有特定版本号的设备除外：
ExcludeVidPid o:vid-0781_pid-5591IncludeVidPidRel o:vid-0781_pid-5591_rel-0100
包含具有相同供应商和产品 ID 的所有设备，具有特定发行号的设备除外：
IncludeVidPid o:vid-0781_pid-5591ExcludeVidPidRel o:vid-0781_pid-5591_rel-0100

使用设备筛选选项

您可以通过以下方式之一使用设备筛选选项：

注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\VMware, Inc.\VMware VDM\Agent\USB
组策略对象
Local Computer Policy\Computer Configuration\Administrative Templates\VMware View Agent Configuration\View USB Configuration